金融機構ICT供應鏈信息安全風險分析及應對措施研究

丁麗媛

(銀聯數據服務有限公司 上海 201201)

1 金融機構ICT供應鏈信息安全現狀及相關政策要求

隨著金融機構數字化轉型的快速推進,更多的金融業務借助互聯網平臺來實現,為了給消費者提供更便捷的服務,多家機構合作開展線上業務,從而形成了復雜的ICT供應鏈條,但是衍生出來的安全問題也逐漸凸顯.作為國家重要行業的金融機構必須在網絡安全工作中重視和探索加強供應鏈信息安全管理,有效防控金融風險.

隨著網絡安全3大法及配套法規標準的頒布實施,國家對供應鏈信息安全管理作出系列相關規定(如表1所示).此外2021年12月發布的《銀行保險機構信息科技外包風險監管辦法》 (銀保監辦發〔2021〕 141號),要求銀行保險機構要建立外包商管理體系,其中規范了全生命周期的外包商管理動作,是金融行業建立自身外包商管理體系的重要指導文件.2021年9月發布的《關于規范金融業開源技術應用與發展的意見》(銀辦發〔2021〕146號),對開源技術在金融業各領域的應用作了全面具體的規定.金融機構要首先保證法律法規方面的合規,然后結合實際情況建立適合企業發展的供應鏈信息安全管理框架.

表1 ICT供應鏈信息安全相關標準發展脈絡[1]

2 金融機構ICT供應鏈信息安全風險分析

在金融數字化業務中,金融機構作為業務需求方,在供應鏈條中屬于下游,上游任何環節發生安全問題都會引發信息安全風險,因此金融機構除了要做好自身的信息安全保障外,還要對上游供應鏈帶來的安全風險予以識別和控制[2].金融機構ICT供應鏈信息安全風險主要如下:

1) 信息泄露風險.金融機構保存的數據都是與客戶個人身份、財務狀況等息息相關的關鍵數據,數據在供應鏈之間流轉的各個環節如果控制不嚴都可能引發信息泄露,而對于信息泄露的結果,客戶并不關心數據泄露是誰的責任,他們認為自己的數據保存在金融機構就是金融機構的責任.所以防控信息泄露風險是供應鏈安全防控的重點.

2) 數據篡改風險.金融機構的數據直接關系到個人身份信息和錢袋子,一旦發生交易數據篡改的事件,產生的將是直接的財務損失.而數據在供應鏈之間流轉過程中涉及多層數據校驗,通常是各自負責各自節點的校驗,下游節點會默認信任上游節點的數據,所以每個節點都要層層把關,做好數據校驗,才能防范數據篡改風險.

3) 業務中斷或不可用風險.服務和業務的連續性對企業來說至關重要,尤其是金融機構,現在網上支付占據了支付行業的主導地位,如果因為供應鏈條發生問題或中斷而引發的服務不可用、產品不可用,將會直接影響用戶體驗,引發輿情風險,也影響客戶對企業的信任度.

綜上所述,金融機構供應鏈面臨諸多風險,亟需一套較完善的供應鏈信息安全防護體系進行管控.

3 基于全生命周期的供應鏈信息安全綜合防控體系設計與實現

金融機構供應鏈信息安全與企業信息安全管理相同,它不是純粹的IT問題,而是涉及上下游企業、組織、人員、流程以及操作問題的綜合治理,所以要建立全方位的供應鏈信息安全管控體系,就要從攻擊者的角度去思考,建立整體的安全防御體系,從供應鏈的整個生命周期出發設計和建設供應鏈信息安全防控體系(如圖1所示).

圖1 基于全生命周期的供應鏈信息安全綜合防控體系框架

3.1 供應商進場的安全風險管控

3.1.1 組織、人員及制度管理

1) 供應鏈信息安全管控要有完備的組織體系作支撐.金融是強監管行業,內部組織體系較為完善,可以在現有架構基礎上成立供應鏈信息安全管理機構,牽頭各相關單位進行全生命周期的供應鏈信息安全管控,明確相關方的管理職責,制定相關制度和要求,定期評估供應鏈信息安全風險及管控措施的落實情況.

2) 人員管理.金融機構外包人員管理一直是重點關注的對象,金融機構要對服務提供商和外包人員進行定期的信息安全培訓并簽訂安全保密協議.而對于內部供應鏈安全管理人員來說,也需要具備相應的能力和資質[3],明確相關方的職責定位和權限級別,建立操作規范并具備完善的操作日志記錄,以備后續風險排查、漏洞分析以及攻擊溯源使用.

3) 制度管理.金融機構要在現有制度體系基礎上建立供應鏈信息安全風險管理體系,基于供應鏈全生命周期,針對自主研發軟件、外購商業軟件、第三方組件、外部云平臺等相關供應關系制定風險管理制度、流程和機制,當發生安全事件時能及時報告并進行應急處置[4].

3.1.2 供應商資質審核、采購和合同管理

供應商進場前需要作準入審核,明確供應商的準入標準并進行充分地風險評估,主要的評估標準包括以下方面:

1) 供應商的服務資質、金融行業服務經驗、所提供的產品和服務是否能夠滿足金融數字化發展要求以及知識產權歸屬和產品授權情況.

2) 供應商的網絡和信息安全保障能力是否能保障金融交易產品及服務的安全性和連續性,在斷供、停服等情況下能夠提供可操作且安全的替代方案,如果發生安全事件能夠及時響應處置.

3) 供應商的風險和合規性評估是否滿足法律法規和金融監管的合規及風險管理要求.強化采購渠道安全,在產品性能及服務能力大致相同的情況下優先選擇渠道安全的供應商.

以上內容要在供應商合同簽署前進行詳盡的調查,并依據金融行業特殊的業務需求和合規標準進行采購,在合同簽訂環節要對評估過程中約定的內容盡可能體現到法律合同文本中,以降低法律風險.

3.1.3 信息安全風險評估

供應商進場前需經過充分的信息安全風險評估,逐步構建和完善風險評估模型[5].

1) 資產梳理.重點是明確采用了哪些軟硬件產品和服務,尤其是開源軟件,目前行業內比較成熟的是軟件物料清單(software bill of materials, SBOM)[6],金融機構在使用產品前應要求供應商提供SBOM,從而了解軟件供應關系及依賴情況,以供后續進行安全檢查.

2) 產品的性能及安全風險檢測.即在進場前先對軟硬件產品進行安全測試,包括但不限于軟件資產識別、漏洞掃描、后門檢測等,尤其是涉及金融交易的功能.同時依據國家和金融行業合規標準以及內部安全基線進行風險評估,以判斷該產品是否滿足企業的安全與合規要求.

3) 第三方風險管理.一方面金融機構將用戶個人信息發送給第三方處理需要經過個人的授權同意,而在信息科技外包項目中,信息系統服務商如需將金融數據和個人信息發送給第三方處理也需要得到金融機構的授權,總之整個數據流轉的各個節點都應該獲得相關方的授權;另一方面關于與第三方數據交互中數據傳輸和存儲的安全性也要得到充分的評估,比如是否涉及敏感信息、傳輸的過程及數據存儲是否安全等.

3.2 供應商產品及服務運行階段的安全風險管控

3.2.1 供應商管理

在完成供應商采購流程進入運行環節后,企業需要對供應商繼續采取以下相應的供應商管理措施:

1) 供應商信息安全管理.

供應商產品和人員進入金融機構進行服務需要遵守金融機構的信息安全策略并簽署保密協議,金融機構要為供應商設置最小訪問權限并保證供應商對資產的訪問是安全可控的.供應商提供的產品或服務交付物要滿足金融機構的安全要求,同時金融機構要定期對其信息安全情況進行監督檢查.

2) 供應商連續性.

供應商產品和服務運行中可能面臨服務連續性風險,比如某金融應用部署在供應商的云平臺上,由于網絡攻擊等原因導致不可用且短時間內不可恢復,那么就要切換到備用產品及服務以快速恢復業務.所以金融機構有必要維護1份備用供應商及產品清單,尤其是關鍵信息基礎設施,需要建立供應商替代方案,以防范供應鏈連續性風險[7].

3) 供應商質量.

對于已經合作的供應商,金融機構應當定期對其服務質量進行評估,在產品使用和服務過程中出現的安全事件應當記錄并督促整改,并作為后續供應商準入的評估依據,對發生嚴重安全事件并影響到數據安全的供應商,則應從供應商名錄中去除,避免由于供應商風險造成企業自身風險.

3.2.2 安全工具檢測

在制定完善的供應鏈信息安全管理制度和流程的基礎上,需要結合安全工具檢測的技術手段(如圖2所示)落地實施.

圖2 信息技術供應鏈應用安全工具檢測模型

1) 軟件成分分析及組件漏洞匹配.

金融科技開源基金會(FINOS)發布的《2022年金融服務業開源狀態》顯示,金融服務業有58%的開源軟件用于Web和應用程序開發,并有增長趨勢.開源軟件的廣泛使用也給金融機構帶來更多的安全風險.解決方案是建立企業級的組件倉庫,使內部組織在安全可控的平臺下載和更新組件,同時結合使用軟件成分分析(software compostition analysis, SCA)方法識別引用的組件、開源許可、安全漏洞等信息,從而梳理出開源組件清單并對漏洞進行排查和修復[6].

2) 代碼審計、漏洞掃描和滲透測試.

在金融行業,代碼審計、漏洞掃描和滲透測試是最通用的安全檢測手段.其中代碼審計是使用靜態源代碼掃描工具結合人工分析發現系統的安全漏洞,它可以從源代碼層面發現漏洞,但時效較低且對人員經驗依賴較大,所以要結合黑盒工具進行測試.即Web應用安全漏洞掃描和人工滲透測試相結合,模擬黑客對應用系統發起攻擊,在系統運行階段進行迭代測試以達到安全檢查的目的[8].

3) 持續應用安全DevSecOps.

隨著金融數字化轉型的推進及敏捷開發DevOps的發展,DevSecOps逐漸被推廣使用.目前主流的解決方案是交互式應用安全測試(interactive application security testing, IAST)[9]和應用程序運行時防護(runtime application Self-Protection, RASP)[9],其中IAST是在程序運行過程中,通過插樁實現對程序運行上下文監控,對應用代碼、請求數據和開源組件漏洞進行檢查.而RASP是在程序運行時即功能調用前或調用時獲取當前方法的參數信息從而分析是否滿足安全要求.以上2種安全工具都需要結合金融行業特有的業務流程進行定制化調試才能達到最有效的防護效果.

4) 終端技術工具管控.

根據歷年網絡安全攻防演練實踐經驗,終端技術工具漏洞經常會成為企業網絡邊界的突破口.所以金融機構在重視生產安全的同時也要加強對終端技術工具的管理,設置相應的網絡準入條件,設立軟件工具白名單庫,并且定期更新升級,保證終端技術工具的來源可靠并且及時更新維護.

3.2.3 持續的安全威脅監測

供應鏈信息安全應形成常態化的風險監測機制(如圖3所示),及時發現并處置安全風險.

圖3 持續的安全威脅監測模型

1) 供應鏈信息安全風險監測機制.

首先在網絡和應用層面.由于金融機構的合作方很多是通過專線對接的,所以供應鏈信息安全風險不再只局限于互聯網邊界,內網專線邊界同樣重要,也要部署可阻斷攻擊源的安全設備進行防護,應用層面則要持續地進行應用安全工具檢測來識別風險.

其次是數據安全層面.金融機構要對企業運營數據作保護:一是通過發現和分類工具對需要保護的數據進行識別并進行分類分級保護,尤其是個人身份信息和金融交易數據;二是通過身份認證和訪問控制機制限制數據的訪問權限;三是通過數據防泄露、數據防篡改、數據庫審計等技術措施進行持續的監測和防護[10].

最后是安全運營中心(security operations center, SOC).金融機構要在現有的安全防護體系基礎上建立統一的SOC,將威脅情報中心、安全態勢感知平臺、日志分析平臺整合聯動統一管理,便于從全局分析和發現安全問題.

2) 情報驅動應急響應.

金融機構要針對不同的安全事件場景制定應急預案及報告流程,尤其是數據泄露、業務中斷等場景,要保證發生安全事件時能夠及時監測到,并通知相關崗位評估分析和處置,以及在事件處置完成后回顧應急流程是否完備,形成PDCA的管理閉環.

3) 第三方API安全.

金融機構在與外部進行合作的過程中越來越多地調用第三方接口,尤其是涉及金融交易的第三方,如支付、放款等機構.為了做好防護,可以采用傳統的問卷調查加工具流量檢測的模式,通過問卷了解接口調用過程中的數據傳輸、數據存儲、數據使用情況,然后通過API安全檢測工具分析接口流量,從流量中梳理出企業調用的外部接口,形成資產清單,同時對檢測到的API接口進行安全風險檢測.

3.3 供應商合作結束的安全風險管控

3.3.1 訪問權限及策略關閉

在供應商產品及服務合作結束后要及時關閉相應人員及系統的訪問權限,并納入到人員離場及產品服務下線流程中,以確保相關策略可以及時關閉.其中要注意的是相應的應用及網絡策略關閉要徹底,如業務下線后應用已無訪問權限,但是網絡策略并未關閉,那么還會存在相關服務器作為跳板進行進一步攻擊的風險,所以在下線流程中要形成開發、運維、人力等聯動的通知及審批機制,及時關閉訪問權限和策略.

3.3.2 數據遷移和刪除

在與供應商合作結束后如數據不再使用則要采取不可恢復的方式徹底刪除數據,但金融行業會有特別的數據保存規定,如業務交易記錄至少要保留5年,這種情況就要依據具體的行業監管要求進行數據保存或者數據遷移,數據保存可以采取敏感信息脫敏變形后保存的方式,而數據遷移還要確保數據遷移過程中的安全性.

3.3.3 數據保密及脫敏期

合作結束后供應商要對過程文檔、數據以及軟件代碼、知識產權等進行保護,不可隨意對外泄露,如不可以將合作文檔及代碼上傳到外部互聯網平臺(如GitHub),必要的情況下要進行脫敏后展示.總之合作雖然結束但是保密的義務沒有結束,雙方依然要按照合同約定履行保密的職責和義務.

4 結 語

隨著金融機構數字化轉型的逐步推進,如何建設安全可控的ICT供應鏈信息安全防護體系成為金融機構亟待解決的安全問題.針對金融機構的信息通信技術供應鏈安全風險,本文在分析了目前金融機構ICT供應鏈信息安全現狀及相關政策要求以及金融機構ICT供應鏈存在的信息安全風險基礎上, 提出了基于全生命周期的供應鏈信息安全綜合防控體系設計與實現方法.

總之,金融機構ICT供應鏈信息安全管理要滿足監管機構關于供應鏈信息安全管理的相關要求,在供應鏈信息安全防控體系的建設和維護過程中,形成閉環的安全管理,為企業縱深防御的信息安全管控體系守牢邊界,把好信息安全的大門.